Steeds meer organisaties willen identiteitsfraude tegengaan en zeker weten dat jij, ook jij bent en maken om die reden gebruik van een verificatie tool. Soms gaat dat via een derde die zij inhuren om dat voor hen te doen. Zo ook, LinkedIN die haar mede Amerikaanse bedrijf Persona inhuurt om haar leden zichzelf te laten verificeren middels het uploaden van zijn of haar paspoort. Deze ontwikkeling maakt dat veel mensen zich afvragen of dit wel zo veilig is en of het juridisch wel mag.
Juridisch gezien is het zo dat een bedrijf in beginsel alleen een (kopie) paspoort op mag vragen/opslaan als dit de minst ingrijpende manier is waarop zij verifiëren dat jij, jij bent. Het opvragen van paspoorten of ID bewijzen is volgens onze Autoriteit Persoonsgegevens en toezichthouders in andere EU landen al snel ingrijpend, onevenredig en disproportioneel. De verwerking levert allereerst namelijk een groot risico op voor de veiligheid van de persoonsgegevens. Ten tweede zou je ook moeten kijken naar welke persoonsgegevens er nu precies worden gebruikt en ook daadwerkelijk noodzakelijk zijn voor het verifiëren. Is daar een BSN nummer en/of foto wel voor nodig?
Het verwerken van dergelijke bijzondere persoonsgegevens wordt namelijk nadrukkelijk beschermd. Dit vloeit voort ook uit de AVG. Het verwerken van bijzondere persoonsgegevens is in principe verboden, tenzij er een uitzondering uit artikel 9 AVG van toepassing is. Bijvoorbeeld wanneer er uitdrukkelijke toestemming door jou wordt gegeven of wanneer er een wettelijke grondslag voor is. Kortom, het mag dus niet zomaar en als het al wel mag dan doet een bedrijf als LinkedIN er goed aan alleen de persoonsgegevens te gebruiken die daadwerkelijk nodig zijn. Een BSN nummer bijv. lijkt mij in geen geval noodzakelijk en mag daarbij mijns inziens ook helemaal niet worden verwerkt door Linkedin of haar ingehuurde derde. In het geval van de situatie bij LinkedIN vraag ik mij overigens wel af of zij zich wel zo gemakkelijk achter het beleid en privacyverklaring van Persona kan verschuilen. Dit lijkt LinkedIN nu in elk geval te willen doen. Dat is in de praktijk meestal nog niet zo zwart wit. Maar dat is voor een andere blog.
Tip: Als bedrijf moet je, je altijd afvragen of er niet andere mogelijkheden zijn om jezelfde doel te bereiken, in dit geval iemand identificeren. Wanneer er andere opties openstaan dan ga je daarvoor en vermijd je het opslaan van paspoorten of ID bewijzen. Gebruik ook nooit meer gegevens dan je nodig hebt voor hetgeen je ze gebruikt. Wil je meer weten hierover of heb je een andere juridische vraag? Stuur me dan gerust een bericht via gwenny@ge-mek.nl of tel. 0622037358.